CryptoTimes

Invasor rouba US$ 24,5 milhões via empréstimos-relâmpago do protocolo xToken

12 maio 2021, 16:01 - atualizado em 12 maio 2021, 16:01
A suspeita é que alguém muito próximo do projeto xToken tenha realizado a invasão dupla (Imagem: xToken)

O protocolo de finanças descentralizadas (DeFi) xToken sofreu uma invasão nesta quarta-feira (12), resultando na perda de US$ 24,5 milhões.

A entidade por trás do ataque utilizou empréstimos-relâmpago para roubar uma variedade de tokens e já vendeu grande parte dos tokens por ether (ETH).

xToken oferece oito tokens, como xSNXa e xBNTa, que fornecem exposição a rendimentos dos projetos DeFi Synthetix e Bancor.

Vêm na forma de tokens desenvolvidos na Ethereum que são lastreados (“wrapped”) em alguns tokens DeFi, como SNX e BNT. Fornecem os mesmos benefícios que o token original, como recompensas por staking, mas sem precisar sair do ecossistema Ethereum.

Empréstimos-relâmpago são empréstimos baseados em blockchain com os quais uma quantidade de criptomoedas é tomada emprestado e paga na mesma transação.

Podem ser utilizadas para obter acesso a grandes quantias de capital a uma taxa mais barata, pois as criptomoedas são pagas instantaneamente (e mesmo se a transação não for processada, é como se o dinheiro nunca tivesse sido tomado emprestado).

Empréstimos-relâmpago em invasões ao bZx
levantam críticas sobre o setor DeFi

CONTINUA DEPOIS DA PUBLICIDADE

Como a invasão aconteceu?

xTokens são tokens “wrapped” padrão ERC-20 para staking, governança e estratégias de liquidez. xToken fornece tokens que oferecem exposição aos rendimentos pela participação de protocolos de staking (Imagem: xToken)

A invasão foi realizada por meio de dois ataques, ambos tendo tokens do ecossistema xToken como alvo.

Primeiro, a entidade responsável usou um empréstimo-relâmpago para tomar 61,8 mil ETH (S$ 270 milhões) emprestado.

Usaram esses ativos para manipular o oráculo da Kyber Network — que conecta seu blockchain a dados reais — para emitir muitos tokens xSNXa que, em seguida, foram vendidos por ETH e SNX.

Segundo, descobriram uma vulnerabilidade no contrato xBNTa. Por ser um “wrapped token”, esse token deveria ser emitido apenas usando tokens BNT. Porém, o contrato fracassou em checar isso. Então, conseguiram usar um token diferente para emitir esses tokens xBNTa, os quais foram vendidos.

Segundo Igor Igamberdiev, do The Block Research: “o invasor foi inteligente o suficiente (ou próximo suficiente ao projeto) para usar dois ataques diferentes para dois tokens do projeto”.

O invasor roubou 2,4 mil ETH (US$ 10,3 milhões), 781 mil BNT (US$ 6,2 milhões), 407 mil SNX (US$ 8 milhões) e 1,9 bilhões de tokens xBNTa. Todos os tokens já foram vendidos — exceto pelos tokens xBNTa — por um total de 5,6 mil ETH (US$ 24,5 milhões).

O invasor pagou 5 ETH (US$ 21,9 mil) em taxas para realizar o ataque. A taxa foi alta porque as taxas de transação na Ethereum são baseadas na complexidade da transação — e essa foi uma transação bem complexa.

xToken percebeu o hack e prometeu outras informações sobre o incidente, tuitando: “estamos em dívida com a comunidade por uma expiração e irá fornecer outra atualização em breve”.